政府前線部門 網絡安全兩年一審 擬11月大演練 內地專家培訓
【明報專訊】近年本港公營機構或政府部門不時發生網絡安全事故,數字政策辦公室上月底成立,數字政策專員黃志光昨日表示,數字辦會循3個層次加強政府網絡安全,第一層是前線部門高層人員要對系統加強監督,包括每兩年要為網絡安全評估及審計;第二層是數字辦會突擊檢查;第三層是引入網絡安全攻防大型演練,目標今年11月展開,邀請10多個部門參與,另邀內地專家協助培訓人員,之後每年演練一次。
黃志光昨在有線新聞節目《有理有得傾》表示,在加強網絡安全方面,前線部門的高層人員要加強對系統的監督,即使系統運作正常,每兩年亦要做整體網絡安全評估及審計,並要做私隱風險評估。被問及發生事故時如何問責,他說政府在執行政策措施一向強調責任,如有事故牽涉人為問題,會按既定程序追究。
數字辦:主動查部門系統漏洞
以往政府部門或公營機構系統曾發生故障,黃志光表示,數字辦會以風險評估方式,向一些面向公眾、市民經常用到的政府服務系統作主動掃描及漏洞偵測,若發現系統有風險及漏洞,會盡快提醒部門修補。
白帽黑客試攻系統3日3夜
黃說,數字辦會主動要求系統接觸面較大、風險較大的部門參與網絡安全攻防大型演練,目標今年邀請10多個部門參與,亦歡迎主動加入,並會邀請內地專家參與,而內地在攻防演練已有數年經驗,因此冀借他們的經驗培訓本地人才。黃稱,在演練前要做很多準備工作,包括設置場地,安排「白帽子黑客」逗留3日3夜,不准離開,並為他們提供食宿,其間他們會嘗試攻擊指定系統,過程會記錄。攻防則包括「紅隊」及「藍隊」,前者負責攻擊,後者助部門應對,以提高部門應對能力。
至於系統承辦商質素的監督,黃志光表示,數字辦目前常備的承辦協議有計分制,若承辦商表現太差,會暫停他們參與新項目直至改善為止,最嚴厲可以「除牌」;尤其大型項目,數字辦會提供更多資訊讓部門參考,若涉及重大的系統,數字辦或會參與招標甚至管理。
另外,數字辦亦致力推動政府數字化轉型,黃預計明年初會在「智方便」加入小程式平台,讓市民盡量做到「一鍵登入」各部門服務,而不是在進入「智方便」後仍要再接入其他部門網站或系統,冀更便利。
